19
SBS 2003, VPN, ISA 2004
Trotz Portfreigabe kein VPN möglich
Hallo zusammen
Folgendes System:
Client:
Windows XP Prof.
Server
Windows SBS 2003
ISA 2004
Router:
Speedport W 701V
Es werden durchgeschleift:
Am Router
- Port 1723 TCP
- GRE
Am ISA-Server ist VPN aktiviert
(das gleiche Problem habe ich auch mit dem SSH Port 22)
In der Protokollierung wird die Verbindung Zugelassen.
An was könnte das liegen?
Danke schonmal im voraus
Folgendes System:
Client:
Windows XP Prof.
Server
Windows SBS 2003
ISA 2004
Router:
Speedport W 701V
Es werden durchgeschleift:
Am Router
- Port 1723 TCP
- GRE
Am ISA-Server ist VPN aktiviert
(das gleiche Problem habe ich auch mit dem SSH Port 22)
In der Protokollierung wird die Verbindung Zugelassen.
An was könnte das liegen?
Danke schonmal im voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 40586
Url: https://administrator.de/contentid/40586
Printed on: April 16, 2024 at 21:04 o'clock
19 Comments
Latest comment
Hast du schon probiert, ob das ganze funktioniert, wenn du den VPN Client direkt am Server anschliesst, bzw. nicht ueber den Router gehst?
Ich hab schon getestet, wenn ich nicht über den Server gehe.
Dann funktioniert das ganze. Kann mich aber nicht per VPN bei mir selbst einwählen.
Komme also von außen auch nicht auf unser VPN.
Mich wundert, dass er im ISA Protokoll bringt, dass die verbindung iniziiert wurde, aber es trotzdem nicht funktioniert ...?
Dann funktioniert das ganze. Kann mich aber nicht per VPN bei mir selbst einwählen.
Komme also von außen auch nicht auf unser VPN.
Mich wundert, dass er im ISA Protokoll bringt, dass die verbindung iniziiert wurde, aber es trotzdem nicht funktioniert ...?
Kann mich aber
nicht per VPN bei mir selbst einwählen.
nicht per VPN bei mir selbst einwählen.
Warum nicht?
Das will ich ja gerade rausbekommen.
Wenn ich mich lokal per VPN einwähle funktioniert das ganze. Aber ich will ja auch von außen draufkommen.
Da kann ich ja dann keine lokale Adresse angeben.
Wenn ich mich lokal per VPN einwähle funktioniert das ganze. Aber ich will ja auch von außen draufkommen.
Da kann ich ja dann keine lokale Adresse angeben.
Wieviel Netzwerkkarten hat der Server?
Der Server hat 2
Eine fürs Interne Netz und eine für den Router
Wenn ich mich an dem Netz, an der der Router hängt anschließe, kann ich mich per VPN einwählen. (Nicht bei mir selbst, aber bei anderen)
Eine fürs Interne Netz und eine für den Router
Wenn ich mich an dem Netz, an der der Router hängt anschließe, kann ich mich per VPN einwählen. (Nicht bei mir selbst, aber bei anderen)
Wenn du dich, wenn du an der Netzwerkkarte, die nach aussen geht nicht per VPN auf dem Server einwaehlen kannst (als Serveradresse, die IP der Servernetzwerkkarte verwenden) ist der Server nicht richtig konfiguriert, wenn das klappt ist der router nicht richtig konfiguriert, also, wo steckt der Fehler?
Ok, der Server ist nicht richtig konfiguriert...
aber ich finde nicht, wo das jetzt geblockt werden soll...
wie gesagt, in der ISA Firewall sind sie Ports weitergeleitet, er zeigt auch an, dass die Verbindung hergestellt und erlaubt wird.
aber ich finde nicht, wo das jetzt geblockt werden soll...
wie gesagt, in der ISA Firewall sind sie Ports weitergeleitet, er zeigt auch an, dass die Verbindung hergestellt und erlaubt wird.
Welche Protokolle hast du denn fuer die Autorisierung freigegeben?
Es sind freigegeben:
- PPTP Verbindung (Port 1723) von Extern nach Intern
- Außerdem PPTP von Intern nach Extern
- Protokollnummer 47 Intern-->Extern, Extern-->Intern
Protokollierung vom ISA:
Ziel-IP: Serveradresse
Zielport: 1723
Protokoll: PPTP
Aktion: Initiierte Verbindung
Regel: VPN-Clientdatenverkehr zu ISA Server zulassen
Quellnetzwerk: Extern
Zielnetzwerk: Lokaler Host
Sobald die Verbindung nicht mehr besteht bringt er als Aktion: Getrennte Verbindung
- PPTP Verbindung (Port 1723) von Extern nach Intern
- Außerdem PPTP von Intern nach Extern
- Protokollnummer 47 Intern-->Extern, Extern-->Intern
Protokollierung vom ISA:
Ziel-IP: Serveradresse
Zielport: 1723
Protokoll: PPTP
Aktion: Initiierte Verbindung
Regel: VPN-Clientdatenverkehr zu ISA Server zulassen
Quellnetzwerk: Extern
Zielnetzwerk: Lokaler Host
Sobald die Verbindung nicht mehr besteht bringt er als Aktion: Getrennte Verbindung
Mein ich nicht, welche moeglichkeiten der Authethifizierung gibt es fuer deine Clients? z.B. MS CHAP2, etc. ?
Die Clients können sich über MS-CHAPv2 und MS-CHAP authentifizieren.
Ich habe weiter rumgetestet. Ich hab' gedacht, dass vielleicht mein Router ein und ausgehend nicht unterstützt.
Das liegt aber nicht daran, denn von einem externen hat es genauso auch nicht funktioniert...
Ich bin so langsam am verzweifeln.
Ich hab das gesamte System eigentlich 1 zu 1 auf einem anderen System laufen, bei dem alles einwandfrei funktioniert. Die Einstellungen hab ich von dem laufenden System so gut wie möglich übernommen, funktioniert aber trotzdem nicht.
Gruß
Ich habe weiter rumgetestet. Ich hab' gedacht, dass vielleicht mein Router ein und ausgehend nicht unterstützt.
Das liegt aber nicht daran, denn von einem externen hat es genauso auch nicht funktioniert...
Ich bin so langsam am verzweifeln.
Ich hab das gesamte System eigentlich 1 zu 1 auf einem anderen System laufen, bei dem alles einwandfrei funktioniert. Die Einstellungen hab ich von dem laufenden System so gut wie möglich übernommen, funktioniert aber trotzdem nicht.
Gruß
Kannst du nicht mal bitte probieren eine VPN Verbindung zum Server herzustellen, ohne den Router zu verwenden, d.h. direkt ueber die Netzwerkkarte? Funktioniert das oder nicht? Wenn nicht, an welcher Stelle bricht der Client ab? Oder bekommt der Client einfach nur keine richtige Adresse zugewiesen? Taucht der client in der Verwaltung des Servers als verbunden auf? Bitte ein paar mehr Infos...
- Verbindung ohne Router (direkt am Externen Netz funktioniert)
- Verbindung am internen Netz funktioniert nicht
--> Fehler: 721 (gleich wie von außen)
- Verbindung von außen
--> Fehler: 721 (kommt nachdem er versucht Benutzername und Passwort zu verifizieren, wobei beide stimmen)
Der Client taucht nur auf, wenn man ohne Router am externen Netz drin ist (da funktioniert die Verbindung auch)
Bei den anderen beiden Fällen steht in der Protokollierung, dass die VPN Verbindung initiiert wird, aber mehr nicht. Als Verbunden steht er dann aber nicht drin.
- Verbindung am internen Netz funktioniert nicht
--> Fehler: 721 (gleich wie von außen)
- Verbindung von außen
--> Fehler: 721 (kommt nachdem er versucht Benutzername und Passwort zu verifizieren, wobei beide stimmen)
Der Client taucht nur auf, wenn man ohne Router am externen Netz drin ist (da funktioniert die Verbindung auch)
Bei den anderen beiden Fällen steht in der Protokollierung, dass die VPN Verbindung initiiert wird, aber mehr nicht. Als Verbunden steht er dann aber nicht drin.
Ok Problem erkannt, es gibt aber keine Lösung dazu
Bei einem SBS 2003 gibt es nur die Möglichkeit !einen! Server im Netzwerk zu haben. Is irgendwie von Microsoft so.
Das heißt, wenn ich mich an einem anderen Netzwerk einwähle, welches auch SBS 2003 hat, geht es nicht...
Es kennt wahrhscheinlich keiner eine Möglichkeit das zu umgehen?
Bei einem SBS 2003 gibt es nur die Möglichkeit !einen! Server im Netzwerk zu haben. Is irgendwie von Microsoft so.
Das heißt, wenn ich mich an einem anderen Netzwerk einwähle, welches auch SBS 2003 hat, geht es nicht...
Es kennt wahrhscheinlich keiner eine Möglichkeit das zu umgehen?
Daran kann das nicht liegen! Der SBS lässt rein Lizenzrechtlich nur einen SBS pro Dömäne! zu, das kann man aber auch für 14 Tage machen, pro Netzwerk habe ich das noch nie gehört, habe das aber direkt ausprobiert, habe mir einen SBS installiert, einen Clientrechner in die Domäne aufgenommen, und konnte eine VPN Verbindung zu einem anderen SBS herstellen, also: Das war nicht dein Problem!
Wie gesagt, du müsstest mit einem normalen XP Rechner, der an der "externen" Netzwerkkarte des SBS hängt ohne Probleme eine VPN Verbindung aufbauen können, wenn das schon nicht klappt, ist der server falsch konfiguriert.
Ich hoffe, mein kleiner Test hilft dir weiter.
Wie gesagt, du müsstest mit einem normalen XP Rechner, der an der "externen" Netzwerkkarte des SBS hängt ohne Probleme eine VPN Verbindung aufbauen können, wenn das schon nicht klappt, ist der server falsch konfiguriert.
Ich hoffe, mein kleiner Test hilft dir weiter.
Hi Garfieldt,
erstmal danke für deine Geduld...
Es hat geklappt. Ich komme auf den Server drauf...
das mit der Lizenz stimmt. Ich komme auf dem Server per VPN auf ein anderes Netz,
aber was nicht funktioniert:
Im internen Netz komme ich nicht auf einen anderen Server per VPN.
Dort bringt er mir die Fehlermeldung 721...
Das muss aber auch funktionieren...
Hast du eine Idee? Hab jetzt schon wieder ewig viel rumprobiert...
erstmal danke für deine Geduld...
Es hat geklappt. Ich komme auf den Server drauf...
das mit der Lizenz stimmt. Ich komme auf dem Server per VPN auf ein anderes Netz,
aber was nicht funktioniert:
Im internen Netz komme ich nicht auf einen anderen Server per VPN.
Dort bringt er mir die Fehlermeldung 721...
Das muss aber auch funktionieren...
Hast du eine Idee? Hab jetzt schon wieder ewig viel rumprobiert...
Hi Leo2000,
das ist relativ einfach:
Wenn du unter Konfiguration --> Netzwerk --> NAT & Portregeln schaust...
da kannst du bei Portregeln "Neue Regel anlegen" klicken
Dann gibst du als Bezeichnung z.B. GRE ein und klickst auf das Kästchen bei Aktiv
Nur noch die IP-Adress eingeben, an die es weitergeleitet werden soll und bei Protokoll GRE auswählen
Falls er meckert, dass du doch bitte Porst eintragen sollst, einfach nochmal kurz auf TCP umstellen, beliebige Ports eingeben, dann auf GRE umstellen und auf Speichern klicken...ist nen Bug
Hoffe das hilft dir weiter...
das ist relativ einfach:
Wenn du unter Konfiguration --> Netzwerk --> NAT & Portregeln schaust...
da kannst du bei Portregeln "Neue Regel anlegen" klicken
Dann gibst du als Bezeichnung z.B. GRE ein und klickst auf das Kästchen bei Aktiv
Nur noch die IP-Adress eingeben, an die es weitergeleitet werden soll und bei Protokoll GRE auswählen
Falls er meckert, dass du doch bitte Porst eintragen sollst, einfach nochmal kurz auf TCP umstellen, beliebige Ports eingeben, dann auf GRE umstellen und auf Speichern klicken...ist nen Bug
Hoffe das hilft dir weiter...
Allerdings habe ich jetzt einen 700er,
(keinen 701-sind wohl ganz verschiedene
Modelle).
(keinen 701-sind wohl ganz verschiedene
Modelle).
Ja, genau das ist das Problem, die beiden Geräte sind sogar von ganz unterschiedlichen Herstellern und unterscheiden sich in den Einstellmöglichkeiten, der 701er hat mehr Möglichkeiten die Firewall einzustellen, der 700er mehr die VOIP Telefonie einzustellen. Ob die fehlenden Funktionen jemals nachgeliefert werden ist mehr als fraglich, allerdings sollte es auch beim 700er eine Möglichkeit für VPN Passthrough geben, vielleicht ist das nur ein bisschen versteckter. Es gibt auch Router, bei denen man das Protokoll nicht an eine spezielle IP weiterleiten muss, sondern nur VPN Passthrough erlauben muss und der Router lässt dann auch eingehende Verbindungen zu allen internen IPs zu. Werde nachher mal nachschauen, habe noch einen originalverpackten 700er zu Hause, mal sehen ob das bei mir klappt.
Viele Grüße
